Une vulnérabilité critique, identifiée sous le nom de CVE-2025-6043, a été découverte dans le plugin Malcure Malware Scanner pour WordPress, affectant plus de 10 000 sites web. Cette faille, notée 8,1 sur l’échelle CVSS, a été révélée le 15 juillet 2025 et reste non corrigée. Elle concerne les versions du plugin jusqu’à la 16.8, permettant à des utilisateurs de bas niveau, tels que les abonnés, de supprimer des fichiers sur le serveur sans vérification d’autorisation adéquate. Cela pourrait entraîner des conséquences graves, notamment l’exécution de code à distance, en particulier si le mode avancé est activé.
La vulnérabilité est d’autant plus préoccupante que le rôle d’abonné est souvent le paramètre par défaut pour les utilisateurs enregistrés sur de nombreux sites WordPress. La faille, classée comme étant basée sur le réseau avec une faible complexité et des exigences de privilèges minimales, ne nécessite aucune interaction de l’utilisateur, ce qui facilite son exploitation par des attaquants.
Malgré la réputation du plugin en tant qu’outil de premier plan pour la suppression de logiciels malveillants, son contrôle d’accès inadéquat présente des risques considérables. En l’absence de correctif, Wordfence recommande de désactiver ou de désinstaller le plugin, surtout sur les sites avec enregistrement d’utilisateurs, pour éviter toute exploitation potentielle.
Les experts en sécurité conseillent aux propriétaires de sites d’évaluer leur tolérance au risque et de prendre des mesures proactives, telles que la surveillance de l’activité des utilisateurs et la désactivation des enregistrements inutiles. L’impact de la vulnérabilité est amplifié avec des configurations avancées du plugin, pouvant entraîner la corruption du site ou une exploitation accrue.
Les administrateurs WordPress doivent rester informés des dernières menaces et mises à jour de plugins. Tant qu’une version sécurisée n’est pas disponible, l’utilisation du Malcure Malware Scanner dans des environnements de production est risquée. Cet incident souligne la nécessité d’audits réguliers des plugins et de privilèges stricts pour les rôles utilisateurs afin de protéger les sites web.
